Waf защита приложений - IT Справочник
Llscompany.ru

IT Справочник
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Waf защита приложений

Сервис защиты веб-приложений

  • Назначение
  • Возможности
  • Актуальность
  • Преимущества
  • Оформить заявку

Назначение сервиса

Сервис защиты веб-приложений «Ростелеком-Солар» позволяет обеспечить надежную защиту корпоративных веб-сервисов, одновременно снизив издержки на персонал, оборудование и устранение последствий атак. В основе сервиса лежит WAF — межсетевой экран веб-приложений.

Применение WAF позволяет обнаружить и блокировать атаки на веб-приложения, которые пропускают традиционные межсетевые экраны и системы обнаружения вторжений. Но любой WAF требует правильной настройки и постоянного обновления сигнатур, для чего нужны круглосуточный мониторинг инцидентов и экспертиза нескольких специалистов по кибербезопасности.

Ростелеком-Solar предлагает решение этой проблемы — WAF как сервис. Он является частью Единой платформы сервисов кибербезопасности (ЕПСК), которая располагается в облачной инфраструктуре «Ростелеком-Солар» и управляется командой квалифицированных ИБ-специалистов Solar JSOC — центра мониторинга и реагирования № 1 в России.

ЕПСК позволяет гарантировать производительность и отказоустойчивость сервиса, применение самых актуальных настроек и сигнатур WAF, а также обнаружение и устранение инцидентов безопасности в максимально сжатые сроки.

Для передачи трафика между ЕПСК и заказчиком у него устанавливается телекоммуникационное оборудование Ростелекома — CPE (Customer Premises Equipment). По желанию заказчика возможна организация защищенного туннеля для обеспечения конфиденциальности передаваемой информации.

CPE управляются и конфигурируются автоматически (технология Zero Touch Provisioning), что позволяет подключать новые локации менее чем за 24 часа. Возможна установка двух CPE для создания отказоустойчивой конфигурации — при выходе из строя одного устройства его мгновенно подменяет второе (режим Active-Standby).

Варианты исполнения CPE

Возможности сервиса

Актуальность сервиса

Веб-приложения используются повсеместно — с их помощью осуществляется взаимодействие с клиентами, предоставляется доступ к важным бизнес-сервисам, например, к CRM-системам, облачным хранилищам и т. д. По этой причине веб-приложения стали одной из главных целей киберпреступников — с их помощью можно выкрасть персональные или финансовые данные, заблокировать деятельность компании или получить доступ к ее внутренней ИТ-инфраструктуре.

Данные: Solar JSOC и Positive Technologies, 2018

Отказаться от веб-приложений уже нельзя — без них организация станет неконкурентоспособной или вовсе не сможет работать (онлайн-магазины, банки, продажа билетов, заказ такси и т. д.).

Таким образом, от защищенности веб-приложений напрямую зависят
непрерывность бизнес-процессов, оперативность принятия решений и репутация организации

Традиционные методы сетевой защиты не спасают от атак на веб-приложения. Межсетевые экраны ориентированы на угрозы сетевого и транспортного уровней (L3/L4), тогда как веб-приложения работают на прикладном уровне (L7). Системы предотвращения вторжений также не учитывают логику работы приложений (сессии, cookies и т. д.), а применяемые ими сигнатуры не учитывают неизвестные атаки (0-day), часто применяемые киберпреступниками.

По этой причине для борьбы с веб-угрозами используют специализированные решения — WAF. Они позволяют эффективно блокировать атаки из списка OWASP Top 10 (SQL-инъекции, XSS и т. д.), DoS-атаки уровня приложений и атаки 0-day. Кроме того, с их помощью можно заблокировать уязвимости веб-приложений до тех пор, пока разработчики не устранят их в исходном коде.

Но недостаточно просто приобрести WAF — его нужно правильно настроить и постоянно обновлять, для чего нужна команда из нескольких специалистов по кибербезопасности. Собрать таких людей — трудная задача: на рынке ИБ-специалистов кадровый голод и они стоят дорого, особенно с учетом посменной работы для обеспечения круглосуточной защиты в режиме 24×7.

Преимущества сервисной модели

Экономия и эффективность

Снижение стоимости владения
Совокупная стоимость владения сервисами дешевле покупки, внедрения и последующей поддержки ИБ-решений

Устранение дефицита кадров
Отсутствие необходимости создания отдела из высококвалифицированных ИБ-специалистов

Экономия
Снижение затрат на оборудование и персонал, перевод капитальных издержек в операционные

Профессиональная команда
Настройка, обслуживание и разбор инцидентов безопасности лучшими специалистами отрасли

Технологичность и надежность

Доступность
Защита и мониторинг 24 часа в сутки без перерывов и выходных

Надежность
Эксплуатация распределенной отказоустойчивой инфраструктуры

Гибкость
Простая масштабируемость и быстрое изменение параметров услуги

Скорость
Быстрое подключение к сервисам и оперативное реагирование на инциденты

Соблюдение законодательства

Соответствие требованиям
Выполнение всех требований по информационной безопасности

Подходящие средства защиты
Эксплуатация сертифицированных решений от лидирующих вендоров

Лицензии регуляторов
Компания является лицензиатом ФСТЭК России, ФСБ России и Минобороны России

Отслеживание изменений
Меры защиты всегда соответствуют всем новым законам и регламентам

WAF — Web Application Firewall

PT Application Firewall — современное решение для защиты веб-приложений от известных и неизвестных атак, включая OWASP Top 10, автоматизированные атаки, атаки на стороне клиента и атаки нулевого дня. Решение основано на передовых технологиях и регулярных исследованиях экспертов, чтобы обеспечить высочайший уровень безопасности и непрерывность бизнес-процессов организации.

PT AF — web application firewall (WAF), инновационная система защиты, которая точно обнаруживает и блокирует атаки, включая атаки из списка OWASP Top 10 и классификации WASC, L7 DDoS и атаки нулевого дня. PT AF обеспечивает непрерывную защиту приложений, пользователей и инфраструктуры и помогает соответствовать стандартам безопасности.

Быстрый старт и легкая адаптация

Благодаря широкому набору опций поставки и развертывания PT AF можно легко и быстро внедрить в любую инфраструктуру, для приложений любого типа и любой степени сложности.

Сценарии использования

  • Проактивная защита от DDoS-атак
  • Профилирование приложения с использованием поведенческого анализа не только обеспечивает защиту, но и позволяет прогнозировать развитие атаки.
  • Блокировка атак нулевого дня
  • Комбинация техник, основанных на алгоритмах машинного обучения, для выявления аномалий и автоматической защиты от неизвестных атак.
  • Целевая защита
  • Встроенные сканеры безопасности и интеграция с PT Application Inspector для обнаружения уязвимостей в исходном коде приложения и блокировки атак на них.
  • Защита от атак на пользователей
  • Модуль WAF.js, работающий на стороне клиента, маскирование данных и тонкая настройка доступа для всесторонней защиты пользователей приложений.
  • Противодействие программам-роботам
  • Анализ поведения пользователей для точного обнаружения программ-роботов и защиты от автоматизированных атак без влияния на легитимный трафик.
  • Всесторонняя защита API
  • Анализ данных в форматах JSON и XML, а также интеграция с решением Approov для защиты от атак на API веб- и мобильных приложений.

Непрерывная защита по всем фронтам

PT AF — это больше, чем защита веб-приложений WAF. Передовые технологии и ряд уникальных интеграций, среди которых интеграция с анализатором кода PT Application Inspector, позволяют обеспечить всестороннюю и непрерывную защиту приложений, в том числе постоянно обновляемых, а также защиту пользователей и инфраструктуры.

Почему PT AF

Быстрое и простое внедрение

Чтобы легко встроиться в любую инфраструктуру, PT AF может поставляться как серверы и виртуальные машины, размещаться в Microsoft Azure или в выделенной виртуальной инфраструктуре и имеет несколько режимов внедрения, в том числе прозрачный прокси-сервер для мгновенного старта. Простая настройка и готовые политики безопасности обеспечивают быстрый запуск продукта.

Гибкость и адаптивность

Предустановленные шаблоны политик безопасности можно адаптировать к специфике приложений, настраивая их по уровню безопасности, в том числе для нескольких приложений или их отдельных частей. Гибкость и высокий уровень автоматизации позволяют надежно защищать приложения любого типа — даже при непрерывном их обновлении — с высоким уровнем отказоустойчивости.

Высокая точность детектирования угроз

Комбинация позитивной и негативной моделей безопасности, непрерывный анализ поведения пользователей, а также использование машинного обучения позволяют свести число ложных срабатываний к минимуму и мгновенно выявлять реальные угрозы, в том числе попытки DDoS- и автоматизированных атак, а также ранее неизвестные атаки (атаки нулевого дня).

Читать еще:  Ассемблер в c

Автоматическая приоритизация угроз

Уникальный для WAF механизм корреляции выстраивает цепочки атак, позволяет выявлять APT и автоматически приоритизировать обнаруженные угрозы по уровню риска. Это помогает мгновенно увидеть серьезные угрозы и принять меры противодействия. Корреляции и способность PT AF обнаруживать уязвимости посредством SAST и DAST существенно упрощают расследования инцидентов.

Защита 360⁰

Посредством интеграции с PT Application Inspector и встроенных сканеров безопасности PT AF защищает от атак на уязвимости в коде приложения и на ошибки в конфигурации веб-серверов и CMS. Модуль WAF.js, маскирование данных и тонкая настройка доступа защищают пользователей. Интеграция с другими системами, в частности с Approov и продуктами Arbor и Check Point, обеспечивает комплексную защиту.

Максимальная производительность

Благодаря применению современных технологий обработки трафика, алгоритмов сжатия, кэширования и агрегации данных PT AF гарантирует эффективность в использовании ресурсов виртуальной инфраструктуры. Возможность использования кластерного решения PT AF позволяет обеспечивать безопасность при любом потоке трафика.

Максимум безопасности, минимум трудозатрат

Набор уникальных возможностей, включая машинное обучение, с одной стороны, обеспечивает максимум защищенности ваших ресурсов, с другой — существенно минимизирует ручной труд благодаря высокому уровню автоматизации.

Опции внедрения

Программно-аппаратный комплекс

Физический сервер PT AF устанавливается на стороне клиента. Доступны следующие режимы развертывания: работа в разрыв (модели: прозрачный прокси-сервер, обратный прокси-сервер, сетевой мост L2), режим мониторинга и автономный режим.

Виртуальные машины

Виртуальные машины PT AF разворачиваются в выделенной виртуальной инфраструктуре клиента (например, в среде VMware vSphere). Доступны те же режимы развертывания, что и для программно-аппаратного комплекса.

В приватном, публичном (Microsoft Azure) или гибридном облаке

Доступны те же режимы развертывания, что и для программно-аппаратного комплекса. При этом развертывание виртуальной машины PT AF в публичном облаке Microsoft Azure происходит буквально в один клик из Azure Marketplace.

PT AF как сервис (SaaS) с управлением на стороне Positive Technologies или на стороне клиента

Если у вас нет возможности устанавливать на своей стороне высоконагруженные системы или вам нужно более гибкое ценообразование, например плата только за проанализированный трафик или за определенные часы использования продукта, PT AF может быть внедрен по модели SaaS. Система размещается в инфраструктуре Positive Technologies и выполняет анализ трафика, создание отчетов, обработку и хранение данных об инцидентах безопасности. Вы просто отправляете трафик нам и после обработки получаете его обратно через интернет.

По модели IaaS в инфраструктуре клиента или поставщика MSS-решений

PT AF может быть внедрен по модели IaaS в вашей или сторонней (например, в провайдерах MSS) организации. В отличие от SaaS, анализ трафика осуществляется на вашей стороне или на стороне провайдера услуг, если PT AF установлен у него, согласно политике конфиденциальности Positive Technologies. В инфраструктуре Positive Technologies осуществляются создание отчетов, обработка и хранение инцидентов безопасности, а также управление конфигурацией продукта.

Соответствие стандартам безопасности

PT AF помогает выполнять требования PCI DSS и других международных, государственных и корпоративных стандартов безопасности.

Политика конфиденциальности

Продолжая использование сайта Вы соглашаетесь с политикой конфиденциальности.

  • Мобильная версия
  • Карта сайта
  • Еnglish
  • Москва +7 (495) 232-92-30
  • Санкт-Петербург +7 (812) 327-59-60
  • Екатеринбург +7 (343) 378-41-50

«Тринити» – системный интегратор полного цикла. Построение ИТ-инфраструктуры, катастрофоустойчивых решений, систем виртуализации, производство серверов и СХД.

Вам необходимо купить готовый сервер с подходящими параметрами, но Вы не знаете какой выбрать? Вас вводит в ступор разнообразие серверных платформ на современном рынке? Специалисты компании «Тринити» предлагают Вашему вниманию огромный выбор современных серверов и серверных платформ по доступным ценам. Мы не просто осуществляем продажу техники — в наших интересах подобрать для клиента самый оптимальный вариант с учетом всех его требований и пожеланий.

Основные направления работы:

  • Проектирование серверных комнат и построение катастрофоустойчивых решений.
  • Информационная безопасность.
  • Виртуализация серверов, систем хранения данных, рабочих станций.
  • ИТ-решения для телевидения, автоматизация вещания и производства, архивное хранение медиаданных, cистемы IPTV.
  • Выполнение проектов по построению центров обработки данных от разработки ТЗ до внедрения “под ключ”.
  • Высокопроизводительные кластеры для параллельных вычислений.
  • Корпоративные серверы и системы хранения данных.
    Инфраструктура для бизнес-приложений (SAP, Microsoft, Oracle и т.д.)

Серверы и серверные платформы

Для того, чтобы купить сервер или серверную платформу, которая будет бесперебойно и долго работать на благо Вашего предприятия, необходимо быть уверенным в надежности приобретаемого устройства. И именно здесь услуги, предоставляемые компанией «Тринити» могут существенно облегчить Ваш выбор.

Компания «Тринити» осуществляет продажу высокопроизводительных систем хранения данных и сетевого оборудования по доступным ценам. У нас Вы можете купить серверную платформу или же сервер, как новый, так и восстановленный от известных мировых производителей серверной техники, предварительно изучив требуемые мощности и характеристики. Также, в нашей компании работают квалифицированные специалисты, которые с радостью помогут Вам выбрать подходящую модель и подберут оптимальную конфигурацию сервера, с учетом всех требований и пожеланий. Просто свяжитесь с нами по указанному номеру, и мы ответим на все интересующие Вас вопросы.

Web Application Firewall

Давление на современном рынке конкуренции в различных сферах деятельности создало очень восприимчивую к окружающей среде web-инфраструктуру. Современные архитектуры развертывания web-приложений достаточно сложны и требуют интеграции многих гетерогенных технологий, создавая потенциал для многочисленных уязвимостей. Ускоренные циклы разработки и постоянные обновления web-приложений еще больше усугубляют ситуацию. В таких условиях бизнес-риски компаний слишком велики, чтобы игнорировать данную проблему, так как уязвимости в web-приложениях подвергают критически важные бизнес-операции и конфиденциальные данные опасности. Значительные финансовые потери могут возникнуть в результате непредвиденных задержек в бизнес-процесах, кражи интеллектуальной собственности, и потери доверия клиентов, а также репутации бренда. Во многих случаях, безопасность web-приложений также является юридическим требованием, например, таким как соблюдение Payment Card Industry Data Security (PCI DSS) стандарта безопасности данных.

Современные тенденции развития web-сервисов указывают на отсутствие единых стандартов безопасного программирования web-приложений, что приводит к ошибкам в разработке ПО и появлению серьезных уязвимостей в web-сервисах, использующих эти приложения. Положение осложняется тем, что уязвимое web-приложение может быть легко скомпрометировано без использования специализированных средств, только с помощью браузера. Защита уязвимых web-приложений может осуществляться либо путем устранения уязвимостей в web-приложении либо с использованием специализированных средств защиты web-приложений — Web Application Firewall (WAF).Сегодня размещение традиционных брандмауэров, Next Generation Firewalls (NGFW) или Intrusion Prevention Systems (IPS) по периметру сети или, по крайней мере, в качестве шлюзов для доверенных сегментов сети, является недостаточным фактором для обеспечения полноценной защиты сетевой инфраструктуры. Атаки на web-ресурсы, которые манипулируют программным обеспечением для достижения вредоносных целей, как правило, проходят одновременно с сессиями легитимных пользователей и, по большей степени используют стандартные HTTP (80) и HTTPS (443) порты. Блокирование всего трафика на уровне порта не является вариантом выхода из данного положения, так как доступ к web-приложениям будет полностью закрыт извне или изнутри. Именно такая дилемма сетевой безопасности является отличной возможностью для поиска хакерами уязвимостей на уровне web-приложений.

Читать еще:  Css checkbox checked

Web Application Firewall (WAF, межсетевой экран для веб-приложений) представляет собой устройство безопасности (аппаратное или виртуальное), основной задачей которого является защита web-порталов и web-приложений путем проверки XML/SOAP семантики потокового трафика, а также проверки HTTP/HTTPS трафика с целью выявления различных атак на уровне приложений. Межсетевой экран для веб-приложений действует как прокси-сервер, но благодаря способности анализировать HTTPS трафик (путем импорта сертификата безопасности целевого сервера), также может выполнять и другие функции, такие как терминация SSL трафика и балансировка нагрузки сервера. Кроме того WAF поддерживает кластеризацию, а также выполняет акселерацию web-приложений.

Web Application Firewall (WAF) поддерживает два основных режима развертывания:

  • Gateway (bridge mode, transparent proxy, reverse proxy);
  • Monitor (режим сетевого мониторинга через SPAN порт).

Рис. 1. Типичная схема развертывания WAF в режиме Gateway

Рис. 2. Типичная схема развертывания WAF в режиме Monitor

Межсетевой экран для веб-приложений (WAF) функционирует на основе двух общепринятых моделей безопасности:
• Negative — отрицательная модель или черный список (отрицает то, что является заведомо установленным). Для предоставления базовой защиты, аналогичной IPS, но с более высоким уровнем оценки безопасности приложений, WAF может использовать как общеизвестные сигнатуры для предотвращения наиболее распространенных атак, так и специфические сигнатуры для атак, использующих уязвимости отдельных web-приложений. Например: отрицать определенный потенциально опасный HTTP запрос GET и разрешить все остальное;
• Positive — положительная модель или белый список (разрешает только то, что является заведомо установленным). Для улучшенной защиты, в дополнение к сигнатурам, используется еще один тип логики: правила, которые определяют, что явно разрешено. Например: разрешить только HTTP GET запросы для определенного URL и запретить все остальное.

Ключевые возможности WAF:

  • Поддержка всех применимых к web-приложениям PCI DSS Requirements* , связанных с компонентами системы в среде обработки данных по платежным картам;
  • Оперативная реакция (определяется активной политикой и/или набором правил) на угрозы и атаки, определенные, как минимум, в OWASP Top 10** ;
  • Проверка входящего HTTP/HTTPS трафика и запросов к web-приложениям и принятие защитных мер на основе активных политик и правил (разрешить, блокировать, предупредить);
  • Поддержка и соблюдение корректного функционирования положительной и отрицательной модели безопасности;
  • Изучение и проверка web-контента, созданного с помощью Hypertext Markup Language (HTML), Dynamic HTML (DHTML), Cascading Style Sheets (CSS) и основных протоколов доставки web-контента, таких как Hypertext Transport Protocol (HTTP) и Transport Protocol Hypertext over SSL (HTTPS);
  • Предотвращение утечки данных — проверка исходящего HTTP/HTTPS трафика и запросов к web-приложениям и принятие защитных мер на основе активных политик и правил, а также своевременная запись произошедших событий в журнал событий;
  • Анализ сообщений web-сервисов, в особенности публичных. Как правило, включает себя проверку Simple Object Access Protocol (SOAP) и eXtensible Markup Language (XML), а также Remote Procedure Call (RPC) ориентированные модели взаимодействия с web-сервисами, основанные на базе HTTP;
  • Проверка любого протокола или конструкции данных (проприетарных или стандартизированных), которые используются для передачи данных в/из web-приложения.
  • Защита от угроз, направленных непосредственно на WAF;
  • Терминация SSL и/или TLS (расшифровка и проверка трафика перед отправкой к web-приложению).

Рис. 3. Основные виды атак на сервер web-приложений

Недостатки IPS в контексте защиты web-ресурсов

Устройства IPS предназначены для обнаружения и блокировки атак, с которыми не могут справиться обычные межсетевые экраны. Данные системы анализируют содержимое пакетов и сравнивают их с сигнатурами известных атак. Помимо этого, системы IPS могут оценивать и блокировать аномалии протоколов прикладного уровня. Общее число уязвимостей web-приложений и их вариаций на несколько порядков выше, чем суммарное количество сигнатур в базах данных современных систем IPS. Поэтому системы IPS, функционирующие по принципу сравнения пакетов с известными сигнатурами, не являются эффективным решением для борьбы с web-атаками. Для надежной защиты web-приложений требуется глубокое понимание их структуры, включая URL-параметры, cookie, формы ввода данных и др. К сожалению, современные системы IPS не в состоянии в полном объеме анализировать структуру web-приложений и, соответственно, обеспечивать их надежную защиту.

Недостатки NGFW в контексте защиты web-ресурсов

Критическим различием между NGFW и WAF является направленность данных устройств: NGFW, прежде всего, ориентирован на контроль внешних приложений по отношению к предприятию (например, peer-to-peer и Facebook), в то время как WAF обеспечивает защиту ориентированных на пользователя web-приложений размещенных на внутренних серверах предприятия.
NGFW не контролируют HTTP/HTTPS сессии вообще либо контролирует их частично. Он блокирует только известные типы атак и, в основном, использует «blacklist» подход к обеспечению web-защиты, а также не компенсирует уязвимости плохо спроектированных web-приложений. Для защиты большинства web-приложений NGFW вполне достаточно. Но для приложений, требующих усиленной защиты и постоянного мониторинга, WAF обеспечивает более надежный набор элементов управления, которые могут блокировать как известные типы атак, так и атаки против которых еще не разработаны защитные механизмы (Zero-Day Attacks).
NGFW не оснащаются WAF, так как это обусловлено необходимостью выделения большого количества вычислительной мощности для корректной работы последнего. Более того, существует ограниченный набор компаний, которым WAF необходим (в основном это финансовая сфера деятельности). Поэтому, на данный момент, WAF остается автономной и независимой технологией с уникальной и узконаправленной функциональностью и высоким потенциалом развития в ближайшем будущем.

Рис. 4. Сравнение WAF, IPS и NGFW в контексте защиты web-ресурсов

* PCI DSS Requirements:

• Обеспечить функционирование межсетевых экранов для защиты данных держателей платежных карт;
• Не использовать пароли и другие системные параметры, заданные производителем по умолчанию;
• Обеспечить безопасное хранение данных держателей карт;
• Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования;
• Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО;
• Разрабатывать и поддерживать безопасные системы и приложения;
• Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью;
• Определять и подтверждать доступ к системным компонентам;
• Ограничить физический доступ к данным держателей карт;
• Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт;
• Регулярно выполнять тестирование систем и процессов обеспечения безопасности;
• Разрабатывать и поддерживать политику информационной безопасности для всего персонала организации.

** OWASP Top 10:

• A1: уязвимости к внедрению кода (всякого рода инъекции, в т.ч. SQL, LDAP и т.д.)
• A2: уязвимости XSS (Cross Site Scripting);
• A3: уязвимости, возникающие вследствие некорректной реализации механизма аутентификации и управления сеансами web-приложения;
• A4: уязвимости, позволяющие осуществлять неконтролируемый доступ к внутренним объектам web-приложения напрямую. Возможность обхода каталогов (Path Traversal);
• A5: уязвимости CSRF (Cross Site Request Forgery);
• A6: уязвимости, возникающие вследствие неправильной конфигурации web-приложения и его окружения;
• A7: уязвимости, связанные с некорректной реализацией криптографических методов защиты информации для хранения критичных данных на стороне сервера;
• A8: уязвимости механизма авторизации web-приложений (возможность прямого доступа к ресурсам по URL);
• A9: недостаточная защищенность транспортного протокола;
• A10: уязвимости, позволяющие использовать web-приложение для перенаправления пользователей на любой сайт (Open Redirects).

Годовая
подписка
на
Хакер

Xakep #251. Укрепляем VeraCrypt

Xakep #250. Погружение в AD

Xakep #248. Checkm8

Xakep #247. Мобильная антислежка

Приручаем WAF’ы. Как искать байпасы в современных Web Application Firewalls и что с ними делать

Содержание статьи

WARNING

Как работает WAF

Давайте рассмотрим механизмы работы WAF изнутри. Этапы обработки входящего трафика в большинстве WAF одинаковы. Условно можно выделить пять этапов:

  1. Парсинг HTTP-пакета, который пришел от клиента.
  2. Выбор правил в зависимости от типа входящего параметра.
  3. Нормализация данных до вида, пригодного для анализа.
  4. Применение правила детектирования.
  5. Вынесение решения о вредоносности пакета. На этом этапе WAF либо обрывает соединение, либо пропускает дальше — на уровень приложения.

Все этапы, кроме четвертого, хорошо изучены и в большинстве файрволов одинаковы. О четвертом пункте — правилах детектирования — дальше и пойдет речь. Если проанализировать виды логик обнаружения атак в пятнадцати наиболее популярных WAF, то лидировать будут:

  • регулярные выражения;
  • токенайзеры, лексические анализаторы;
  • репутация;
  • выявление аномалий;
  • score builder.

Большинство WAF используют именно механизмы регулярных выражений («регэкспы») для поиска атак. На это есть две причины. Во-первых, так исторически сложилось, ведь именно регулярные выражения использовал первый WAF, написанный в 1997 году. Вторая причина также вполне естественна — это простота подхода, используемого регулярками.

Наиболее популярные техники детекта вредоносной нагрузки в WAF

Напомню, что регулярные выражения выполняют поиск подстроки (в нашем случае — вредоносного паттерна) в тексте (в нашем случае — в HTTP-параметре). Например, вот одна из самых простых регулярок из ModSecurity:

Как обеспечить безопасность
веб-приложений?

TADетали

Согласно отчету Verizon DBIR, большинство успешных взломов 2015 года связаны с уязвимостями веб-приложений. Какие решения позволяют защититься от интернет-вторжений, какими особенностями они обладают и что предлагают отечественные поставщики в этой сфере? Расскажем об этом в рубрике TADетали.

Для чего нужны межсетевые экраны уровня приложений (WAF, Web Application Firewall)?

Более 20 лет назад стало понятно, что системы IDS/IPS уже не подходят для защиты от вторжений через интернет. Благодаря многообразию и интерактивности веб-приложений появилось множество возможностей для незаметных и разрушительных кибератак. Большинство проникновений во внутренние корпоративные сети осуществляется через веб-приложения, невзирая на использование традиционных защитных средств. Поэтому на смену IDS/IPS и классическим межсетевым экранам пришли межсетевые экраны уровня приложений (Web Application Firewall), использующие ряд принципиально новых технологий.

В чём отличия WAF от IDS/IPS?

Первые специализированные средства для защиты веб-приложений имели два ключевых отличия от IDS/IPS. Они могли оперировать атрибутами протокола HTTP (метод, адрес, параметры) и выполнять преобразования данных перед анализом (urlencode, base64). Такие решения использовали сигнатурный подход и были ориентированы на защиту от атак на сервер (RCE, Path Traversal, SQL injection).

Второе поколение защитных экранов уровня приложений стало ответом на развитие стека технологий Web 2.0 (AJAX и пр.) и существенный рост числа критичных веб-приложений. Результатом взрывного роста количества и сложности веб-приложений стала практическая бесполезность классических сигнатурных подходов из-за существенного числа ложных срабатываний.

Для решения этой проблемы применялись методы динамичского профилирования. Оптимизация списков сигнатур осуществлялась посредством алгоритмов машинного обучения с учителем, однако подобное обучения требовало высокой квалификации экспертов.

Во втором поколении начали использовать также методы защиты от атак на пользователей (XSS и CSRF).

Какими особенностями обладают современные Web Application Firewall?

Злоумышленники все чаще использовали уязвимости нулевого дня, которые не отслеживались сигнатурными методами анализа. Для снижения числа ложных срабатываний и выявления аномалий требовалось создание модели нормального функционирования приложения. Полностью автоматические методы также давали сбои из-за отсутствия «белого» трафика, который недоступен в процессе реальной эксплуатации приложения. А реальный (серый) трафик содержит не только легитимные запросы, поэтому большинство WAF не могут обучаться на нём.

Модели поведения пользователей, формируемые с помощью алгоритмов машинного обучения без учителя (Hidden Markov Models – скрытые модели Маркова), позволяют современным инструментам использовать для обучения «серый» трафик, защищая от атак нулевого дня и техник обхода. Такой подход реализован, например, в PT Application Firewall (PT AF) компании Positive Technologies. Но это далеко не все.

Крупные современные бизнес-приложения построены по принципу множественного клиент-серверного взаимодействия, интегрируя в рамках «единого окна» множество различных систем. В этом случае недостаточно обеспечить безопасность витрины приложения: серьезной проблемой становится и безопасность внутрисистемных связей. В сервисах межведомственного обмена, госуслуг, ДБО, АБС, АСУ ТП такая коммуникация часто реализована на базе XML или JSON. Современный WAF должен выявлять несанкционированные и вредоносные включения в XML-сообщениях, валидировать и профилировать SOA-вызовы.

Безопасность приложения можно значительно повысить ещё до того, как началась атака, если защитная система способна сама выявить и оценить уязвимости этого приложения. Однако традиционные межсетевые экраны на основе заданного набора сигнатур не обладают таким функционалом. Большой опыт тестов на проникновение и других исследований защищенности позволил экспертам Positive Technologies реализовать в PT Application Firewall сразу два эффективных механизма работы с уязвимостями: динамический сканнер для верификации успешности атак в режиме реального времени, а также автоматизированный виртуальный патчинг на основе эксплойтов, которые генерирует анализатор исходного кода приложений PT Application Inspector.

В системах WAF третьего поколения был сделан акцент на защиту от атак на бизнес-логику (фрод и DDoS прикладного уровня) и появился функционал отслеживания пользователей (User tracking), позволяющий независимо анализировать поток событий в рамках отдельной сессии пользователя.

Что такое WAF 360 0 ?

Большинство WAF разрабатываются для защиты веб-приложений от внешних атак. Однако в современном мире распределенных инфраструктур важнейшее значение имеет комплексный подход.

Такие системы позволяют защищать пользователей и внутрисистемные коммуникации, а также сократить объем ручной работы ИБ-экспертов за счет интеллектуальных технологий анализа данных. Продукты класса WAF могут продлить SSDL-цикл, закрывая уязвимости, которые могут быть внесены средой эксплуатации — к примеру, после обновления веб-сервера. Поддержка систем оркестрации для управления большим количеством WAF (например, Cisco ACI) и универсальных API снижает трудозатраты на обслуживание дата-центров и облачных сервисов. Интеграция с системами антифрода для защиты от утечек и мошенничества на стороне пользователей позволяет государственным порталам или интернет-магазинам контролировать риски, возникающие на стороне их клиентов, без внесения изменений в код веб-приложений.

В случае с PT Application Firewall эти технологии безопасности позволяют учесть все «слабые звенья» современных информационных систем и сделать защиту приложений по-настоящему многосторонней.

В 2015 и 2016 годах международное аналитическое агентство Gartner назвало компанию Positive Technologies «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls за уникальные и передовые технологии защиты и реализацию сфокусированного на безопасности продуктового плана. С помощью межсетевого экрана PT AF обеспечивается безопасность веб-сервисов крупнейших банков и ведущих телекомов, розничных торговых сетей, предприятий нефтегазовой сферы и энергетики, медицинских учреждений и СМИ.

Текст подготовлен при поддержке Positive Technologies

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector